Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Ett säkerhetsproblem finns i hur RPC-bindningen (Printer Remote Procedure Call) hanterar autentiseringen för det fjärranslutna Winspool-gränssnittet. Uppdateringen Windows adresserar problemet genom att öka RPC-autentiseringsnivån och introducera en ny princip och registernyckel så att kunder kan inaktivera eller aktivera tillämpningsläge på serversidan för att öka autentiseringsnivån.   

Mer information om problemet finns i CVE-2021-1678-| Windows Print Spooler förfalskningshål .

Vidta åtgärder

För att skydda din miljö och förhindra avbrott måste du göra följande:

  1. Uppdatera alla klient- och serverenheter genom att installera uppdateringen från den 12 januari 2021 Windows eller en Windows senare. Observera att om du installerar Windows säkerhetsuppdateringen inte minskar säkerhetsrisken fullt ut, och kan påverka din aktuella utskriftskonfiguration. Du måste utföra steg 2.

  2. Aktivera tvingande läge på utskriftsservern. Läget för tillämpning kommer att aktiveras på Windows enheter vid ett senare tillfälle.

Tidsinställningar för uppdateringar

Dessa Windows uppdateringar kommer att släppas i två faser:

  • Den första distributionsfasen för Windows uppdateringar som släpptes den 12 januari 2021 eller senare.

  • Tvingande fas för Windows uppdateringar som släpps senare.

12 januari 2021: Den första distributionsfasen

Den första distributionsfasen startar med Windows-uppdateringen som släpptes den 12 januari 2021, genom att serverkunder själva kan aktivera den här ökade säkerhetsnivån baserat på beredskapen i miljön.

Den här versionen:

  • Adresser CVE-2021-1678 (i distributionsläge inställt på Av som standard).

  • Lägger till stöd för registervärdet RpcAuthnLevelPrivacyEnabled för att aktivera ökningen av auktoriseringsnivån för skrivare IRemoteWinspool-skyddet.

Minskningar består av installationen Windows uppdateringar på alla klient- och servernivåenheter.

14 september 2021: Tillämpningsfas

Övergången till tillämpningsfasen den 14 september 2021. Tillämpningsfasen tillämpar ändringarna för CVE-2021-1678 genom att öka auktoriseringsnivån utan att behöva ange registervärdet.

Installationsvägledning

Innan du installerar den här uppdateringen

Du måste ha följande uppdateringar installerade innan du kan installera den här uppdateringen. Om du använder Windows- eller uppdatering erbjuds dessa nödvändiga uppdateringar automatiskt vid behov.

  • Du måste ha SHA-2-uppdateringen (KB4474419)från den 23 september 2019 eller en senare SHA-2-uppdatering installerad och starta sedan om enheten innan du använder den här uppdateringen. Mer information om SHA-2-uppdateringar finns i 2019 krav på stöd för SHA-2-kodsignering för Windows och WSUS.

  • För Windows Server 2008 R2 SP1 måste du ha installerat servicestackuppdateringen (SSU) (KB4490628)som är daterad den 12 mars 2019. När uppdateringen KB4490628 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om den senaste SSU-uppdateringen finns i ADV990001 | Senaste Service Stack-uppdateringar.

  • För Windows Server 2008 SP2 måste du ha installerat servicestackuppdateringen (SSU) (KB4493730)som är daterad den 9 april 2019. När uppdateringen KB4493730 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om de senaste SSU-uppdateringarna finns i ADV990001 | Senaste Service Stack-uppdateringar.

  • Kunder måste köpa den utökade säkerhetsuppdateringen (ESU) för lokala versioner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 efter att utökad support upphörde den 14 januari 2020. Kunder som har köpt ESU måste följa procedurerna i KB4522133 för att fortsätta ta emot säkerhetsuppdateringar. Mer information om ESU och vilka versioner som stöds finns i KB4497181.

ViktigtDu måste starta om enheten när du har installerat de här nödvändiga uppdateringarna.

Installera uppdateringen

Du kan lösa säkerhetsproblemet genom att installera Windows och aktivera tvingande läge genom att följa de här stegen:

  1. Distribuera uppdateringen från 12 januari 2021 till alla klient- och serverenheter.

  2. När alla klient- och serverenheter har uppdaterats kan fullständigt skydd aktiveras genom att registervärdet är 1.


Steg 1: Installera Windows uppdatering

Installera uppdateringen från Windows 12 januari 2021 eller en Windows till alla klient- och serverenheter.

Windows Serverprodukt

KB #

Typ av uppdatering

Windows Server, version 20H2 (Grundläggande installation av server)

4598242

Säkerhetsuppdatering

Windows Server, version 2004 (Core-installation av server)

4598242

Säkerhetsuppdatering

Windows Server, version 1909 (Core-installation av server)

4598229

Säkerhetsuppdatering

Windows Server, version 1903 (Core-installation av server)

4598229

Säkerhetsuppdatering

Windows Server 2019 (coreinstallation av server)

4598230

Säkerhetsuppdatering

Windows Server 2019

4598230

Säkerhetsuppdatering

Windows Server 2016 (Core-installation av server)

4598243

Säkerhetsuppdatering

Windows Server 2016

4598243

Säkerhetsuppdatering

Windows Server 2012 R2 (Grundläggande installation av server)

4598285

Månatlig samlad uppdatering

4598275

Endast säkerhet

Windows Server 2012 R2

4598285

Månatlig samlad uppdatering

4598275

Endast säkerhet

Windows Server 2012 (Core-installation av server)

4598278

Månatlig samlad uppdatering

4598297

Endast säkerhet

Windows Server 2012

4598278

Månatlig samlad uppdatering

4598297

Endast säkerhet

Windows Server 2008 R2 Service Pack 1

4598279

Månatlig samlad uppdatering

4598289

Endast säkerhet

Windows Server 2008 service pack 2

4598288

Månatlig samlad uppdatering

4598287

Endast säkerhet

Steg 2: Aktivera tillämpningsläge

Viktigt Det här avsnittet, metoden eller uppgiften innehåller anvisningar om hur du ändrar registret. Men om du ändrar registret på fel sätt kan det orsaka allvarliga problem. Se därför till att du följer de här stegen noggrant. För ytterligare skydd bör du sskydda registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Mer information om hur du ska bakåt i och återställa registret finns i Backa upp och återställa registret i Windows.

När alla klient- och serverenheter har uppdaterats kan du aktivera fullständigt skydd genom att distribuera tillämpningsläget. Gör så här:

  1. Högerklicka på Start,klicka på Kör,skriv cmdi rutan Kör och tryck sedan på Ctrl+Skift+Retur.

  2. Skriv regedit i kommandotolken för administratör och tryck sedan på Retur.

  3. Leta upp följande registerundernyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Högerklicka på Skriv ut, välj Nyttoch klicka sedan på 32-bitars DWORD-värde (32-bitars).

  2. Skriv RpcAuthnLevelPrivacyEnabled och tryck sedan på Retur.

  3. Högerklicka på RpcAuthnLevelPrivacyEnabled och klicka sedan på Ändra.

  4. I rutan Värdedata skriver du 1 och klickar sedan på OK.

Obs! Den här uppdateringen introducerar stöd för registervärdet RpcAuthnLevelPrivacyEnabled för att öka auktoriseringsnivån för skrivaren IRemoteWinspool.

Registerundernyckel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Värde

RpcAuthnLevelPrivacyEnabled

Datatyp

REG_DWORD

Data

1:Aktiverar tillämpningsläge. Innan du aktiverar tillämpningsläget för serversidan kontrollerar du att alla klientenheter har installerat Windows-uppdateringen som släpptes den 12 januari 2021 eller senare Windows uppdateringen. Den här korrigeringen ökar auktoriseringsnivån för skrivarenSRemoteWinspool RPC-gränssnitt och lägger till en ny princip och ett registervärde på serversidan för att tillämpa klienten så att den nya auktoriseringsnivån används vid tillämpningsläge. Om klientenheten inte har säkerhetsuppdateringen från 12 januari 2021 eller en senare Windows-uppdatering som används bryts utskriftsupplevelsen när klienten ansluter till servern via IRemoteWinspool-gränssnittet.

0: Rekommenderas inte. Inaktiverar autentiseringsnivån för skrivaren IRemoteWinspool,och dina enheter är inte skyddade.

Standard

Standardbeteendet när du har installerat uppdateringar när registernyckeln inte har angetts:

  • Uppdateringar från 12 januari 2021 eller senare har standardbeteendet 0 (noll) när de inte är inställda.

  • Uppdateringar från 14 september 2021 eller senare har standardbeteendet 1 (ett) när de inte är inställda.

Krävs en omstart?

Ja, en omstart av enheten eller en omstart av tjänsten för utskriftshanteraren krävs.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?

Tack för din feedback!

×